第 8 卷 第 6 期 信息 技术 快报 Vol.8 No.6 
Information Technology Letter Nov. 2010 


深度 数据 包 检 测 技术 研究 进展 


摘要 深度 数据 包 检 测 是 数据 包 处 理 关键 技术 之 一 ， 即 采用 特征 匹配 算法 ,将 每 个 数据 包 内 容 与 一 组 预定 义 
的 特征 进行 匹配 。 随 着 网 络 带宽 的 迅猛 增长 以 及 特征 规则 日 益 增 多 ， 研 究 者 提出 了 基于 硬件 的 特征 匹配 算 
法 ， 即 采用 FPGA, ASIC 和 NP 等 专用 崔 入 式 人 硬件 来 设计 与 实现 特征 匹配 算法 ， 提 高 DPI 的 匹配 吞吐 量 。 
但 是 , 这 些 基于 硬件 的 特征 匹配 算法 面临 高 性 能 挑战 ， 即 如 何 满足 线 速 数 据 包 内 容 过 滤 的 时 间 和 空间 需求 。 
本 文 从 时 间 和 空间 等 方面 综述 了 基于 硬件 的 字符 串 匹 配 算法 和 正则 表达 式 匹配 算法 的 研究 进展 ， 并 展望 了 
未 来 DPI 技术 看 
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1 引言 


随 着 网 络 技术 的 迅 狐 发 展 和 广泛 应 用 , 互联 网 承载 着 越 来 越 多 的 应 用 业务 ， 人们 对 互联 
网 的 依赖 性 日 益 增强 。 近 年 来 ， 网 络 蠕虫 、 僵 尸 网 络 和 计算 机 病毒 等 新 型 攻击 层出不穷 ， 入 
侵 和 支持 大 量 的 计算 机 系统 ,滥用 计算 机 网 络 资源 ， 并 威胁 和 破坏 互联 网 基础 设施 ,已 经 造 
成 重大 的 经 济 损失 和 恶劣 的 社会 影响 "了 4。 因 此 ， 如 何 快速 检测 和 阻止 这 些 攻 击 成 为 当前 网 


网 络 入 侵 检测 与 防御 系统 (Network Intrusion Detection/Prevention System, NIDS/NIPS) 是 
网 络 安全 防御 的 主要 手段 ， 即 通过 实时 监测 网 络 流量 来 检查 和 阻 断 网 络 攻 击 趾 。NIDS/NIPS 
己 广 泛 部 署 于 从 终端 计算 机 、 边 缘 路 由 器 到 核心 路 由 器 等 网 络 构 件 。 随 着 网 络 攻 击 日 益 复杂 
化 和 安全 漏洞 不 断 发 现 , 在 未 来 五 年 内 , 全 球 NIDS/NIPS 市 场 将 从 2007 年 的 9.32 亿美 元 增 
长 到 21 亿美 元 局。 深度 数据 包 检 测 (Deep Packet Inspection, DPD 是 NIDS/NIPS 的 核心 ,不仅 
检查 数据 包头 部 信息 ， 而 且 检 查 数据 包 有 效 载荷 ( 即 数据 包 内 容 )。 深 度数 据 包 检测 《以 下 简 
称 DPI) 主 要 采用 特征 匹配 算法 ,即将 每 个 数据 包 内 容 与 一 组 预定 义 的 特征 规则 进行 匹配 广 31。 
DPI 采用 一 组 规则 描述 攻击 特征 ， 即 每 条 规则 至 少 包括 数据 包 类 型 、 特 征 字 符 串 、 搜 索 起 始 
位 置 、 以 及 匹配 后 的 响应 操作 等 。 例 如 ， 在 Snort 特征 规则 集中 由， 规则 {falert icmp (msg: 
"DDOS TEN Probe"; content: "1234";)} 是 描述 分 布 式 拒绝 服务 TEN :探测 攻击 ， 即 当 互 联网 控 
制 报 文 协议 〈Internet Control Message Protocol, ICMP) 数据 包 内 容 包含 特征 字符 串 “1234?” 
时 ， 产 生 告 警 消息 为 “DDOS TEN Probe”. DPI 是 一 种 数据 包 内 容 过 滤 技 术 ， 不 仅 应 用 于 
NIDSNIPS， 而 且 还 应 用 于 应 用 层 数 据 包 分 类 、 对 等 传输 CP2PO 流量 识别 、 基 于 上 下 文 的 
流量 计 费 等 1。 


特征 匹配 是 计算 机 科学 中 经 典 问题 之 一 , 广泛 应 用 于 信息 检索 、 模式 识别 和 网 络 安 全 等 
领域 。 特征 匹配 算法 可 分 为 字符 串 匹 配 算法 和 正则 表达 式 匹 配 算法 。 字符 串 匹 配 算法 采用 字 
符 串 语言 来 描述 简单 的 特征 规则 ; 而 正则 表达 式 匹 配 算法 采用 正则 表达 式 语 言 来 描述 复杂 的 
特征 规则 。 根 据 匹 配方 式 ， 特 征 匹 配 算法 又 分 为 单 模 式 和 多 模式 匹配 算法 。 单 模式 匹配 算法 
是 指 一 次 内 容 扫 描 仅 匹配 一 个 特征 串 ， 例 如 克 努 斯 - 莫 里 斯 - 普 拉 特 CKnuth-Morris-Pratt) 算 
法 外 和 博 耶 - 摩 尔 CBoyer-Moore) 算法 090 等 。 当 规则 集 包含 s 个 特征 串 时 ， 单 模式 匹配 算法 
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需要 重复 匹配 s 次 ， 存 在 匹配 效率 低 等 问题 。 多 模式 匹配 算法 是 采用 确定 型 有 限 自 动机 
(Deterministic Finite Automaton，DFA) 来 表示 一 组 特征 串 ， 一 次 内 容 扫描 可 匹配 多 个 特征 串 ， 
网 如 阿 霍 -克拉 斯 科 〈Aho-Corasick) 算法 品 、 科 曼 效 -沃尔特 CCommentz-Walter) 算法 I 
以 及 阿 霍 -克拉 斯 科 和 博 耶 -摩尔 (Aho-Corasick Boyer-Moore) 联合 算法 上 等 。 


从 1975 年 开始 ， 过 去 近 30 多 年 的 DPI 技术 研究 主要 关注 基于 软件 的 特征 匹配 算法 ， 
即 在 单 核 CPU 的 软件 平台 上 设计 与 实现 特征 匹配 的 算法 , 从 而 提高 DPI 的 匹配 速率 。 但 是 ， 
随 着 网 络 带 宽 和 业务 流量 的 迅猛 增长 以 及 特征 规则 日 益 增 多 , 基于 软件 的 特征 匹配 算法 存在 
匹配 吞吐 量 低 等 问题 ,难以 满足 10-40Gbps 线 速 数 据 包 处 理 的 高 性 能 需求 。 近 年 来 , 研究 者 
提出 了 多 种 基于 硬件 的 特征 匹配 算法 I 站 , 即 采用 专用 杠 入 式 硬件 , 例如 现场 可 编程 门 阵列 
(简称 门 阵列 )、 专 用 集成 电路 等 ,设计 与 实现 特征 匹配 算法 ， 从 而 提高 DPI UL WERE di 
例如 ， 基 于 门 阵 列 的 特征 匹配 算法 吞吐 量 可 达 10Gbps， 支 持 特 征 规则 集 的 动态 更 新 ， 但 是 
存在 重 编译 和 重 构 时 间 长 等 缺点 ;基于 专用 集成 电路 的 特征 匹配 算法 和 大 叶 量 可 达 20Gbps， 
不 文 持 特征 规则 集 的 动态 更 新 。 这 些 基 于 硬件 的 特征 匹配 算法 面临 嵌入 式 存 储 器 空间 受 限 等 
挑战 ， 即 确定 型 有 限 自 动机 《以 下 简称 确定 自动 机 ) 存储 空间 需求 大 ， 难 以 在 片上 高 速 存 储 
T7 器 中 存储 和 查找 整个 确定 自动 机 ， 而 需要 频繁 访问 片 外 低速 存储 器 ， 导 致 DPI 的 匹配 性 能 
> 降低 。 例 如 ，Xilinx Vertex-5 门 阵列 09 仅 提供 约 10Mb 的 片上 SRAM2， 而 当前 Snort 特征 规 
则 集 对 应 的 确定 自动 机 存储 空间 开销 约 为 100MB， 无 法 存储 在 片上 SRAM 中 ， 难 以 实现 线 
速 数据 包 处 理 。TCAM3 和 多 核 处 理 器 (Multi-Core Processor) 等 硬件 技术 的 不 断 发 展 ， 为 DPI 
的 性 能 提升 提供 了 新 的 机 遇 与 挑战 。TCAM 可 以 在 一 个 时 钟 周 期 内 查找 出 与 内 容 匹 配 的 存 
储 索引 ， 提 供 高 速 且 确定 的 内 容 查找 ， 用 于 加 速 DPI 的 匹配 性 能 ， 多 核 处 理 器 是 在 一 块 芯 
片上 集成 多 个 CPU 核 ， 具 有 高 速 灵 活 的 并 行 计算 能 力 ， 用 于 提升 DPI 的 匹配 性 能 。 因 此 ， 
如 何 设计 与 实现 基于 硬件 的 高 性 能 特征 匹配 算法 成 为 线 速 DPI 技术 研究 的 热点 问题 ， 已 吸 
引 越 来 越 多 研究 者 的 关注 。 


本 文 综述 了 DPI 技术 研究 进展 ， 特 别 是 基于 硬件 的 特征 匹配 算法 设计 与 实现 。 第 2 节 
介绍 了 DPI 的 高 性 能 挑战 ， 并 指出 了 DPI 技术 的 可 伸缩 性 需求 ， 第 3 节 和 第 4 节 分 别 详细 
讨论 了 儿 种 基于 硬件 的 字符 串 匹 配 算法 和 正则 表达 式 匹配 算法 。 最 后 , 第 5 节 总 结 全 文 ， 并 
展望 了 未 来 DPI 技术 研究 的 关键 问题 。 


T 2 DPI 技术 的 高 性 能 挑战 


DPI 是 计算 密集 型 操作 ， 主 要 应 用 于 高 速 路 由 器 的 关键 数据 路 径 上 ， 需 要 检查 高 速 海量 
数据 包 ， 并 与 成 千 上 万 条 规则 进行 特征 匹配 。 近 年 来 ， 互 联网 骨干 链 路 带宽 从 2.5Gbps 增 至 
10-40Gbps， 以 太 网 接口 从 10GbE 增 至 100GbE; 新 型 高 质量 网 络 应 用 ， 例 如 流 媒体 应 用 
PPLive、YouTube， 内 容 发 布 应 用 Facebook. Twitter 等 ， 产 生 海 量 的 业务 内 容 和 网 络 流量 。 
为 了 适应 高 速 海量 数据 包 处 理 ， 满 足 线 速 数据 包 处 理 的 时 间 和 空间 需求 ， 并 提升 可 伸缩 性 ， 
DPI 技术 面临 高 性 能 挑战 9， 


1. ” 随 着 网 络 攻击 、 业 务 行为 等 日 益 复 杂 化 ， 特 征 规则 条 数 不 断 增多 量 特 征 描 述 越 来 越 
复杂 ， 导 致 DPI 的 存储 空间 开销 日 益 增 大 。 例 如 ，Snort 特征 规则 条 数 从 2003 年 的 
3166 增 至 2009 年 的 15047。Snort 特征 规则 集 的 确定 自动 机 存储 空间 需求 超过 75MB， 
而 门 阵列 和 专用 集成 电路 等 嵌入 式 硬件 的 片上 高 速 存 储 器 仅 约 为 10Mb， 因 而 特征 匹 
配 的 整个 确定 自动 机 难以 存储 在 片上 高 速 存 储 器 中 ， 需 要 存储 在 片 外 低速 存储 器 ， 


> Static Random Access Memory, BREED aas 
3 Ternary Content Addressable Memory, 三 态 内 容 可 寻 址 存储 器 
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匹配 算法 ， 在 片 


Information 
从 而 限制 了 DPI 的 匹配 吞吐 量 。 
上 高 速 存 储 器 ， 
伸缩 性 需求 ， 而 且 提 高 DPI 的 匹配 性 能 。 


2. 为 了 实现 未 来 100Gbps 线 速 数 据 包 处 理 ， 基 于 
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因此 ， 基 于 硬件 的 DPI 技术 人 迫切 要 求 存 储 高 效 特征 


存储 和 查找 


确定 自动 机 ， 不 仪 满足 特征 规则 集 的 可 


储 器 、 人 硬件 并 行 计算 能 力 等 来 提高 特征 匹配 


入 式 便 件 通常 采用 层次 化 存储 器 体系 结构 ， 即 


硬件 的 DPI 技术 要 求 利用 片上 高 速 丰 
的 吞吐 量 。 门 阵列 和 专用 集成 电 有 


Age bo 
JF HK 


片上 高 速 存储 器 和 片 外 低速 存储 器 


构成 。 片 上 存储 器 支持 快速 查找 ， 例 如 片上 SRAM 的 访问 时 间 为 1-2ns, 但 是 其 存储 


室 间 小 ， 片 外 存储 器 的 存储 空间 大 ， 但 是 其 查找 速度 慢 ， 例 如 片 外 DRAM 的 访问 时 


间 为 60ns。 面 向 硬件 实现 的 DPI 技术 面临 如 


可 利用 片上 高 速 存储 器 来 尽量 减少 片 外 


低速 存储 器 访问 次 数 ， 从 而 实现 线 速 DPI. FA TRA SOE ER AS RSET A, (AE 
存在 编程 设计 复杂 、 灵 活性 差 和 升级 成 本 高 等 缺点 ,Intel Xeon CPU, Cavium OCTEON 


和 Nivida GPGPU “4 th Ji 
DPI 实现 带 来 新 的 机 遇 与 挑战 。 线 速 DPI 技术 面临 如 
J8867J, WW 5E SCHRE] 4 ea 


器 共有 强大 # 


特征 匹配 算法 ， 


行 计 算 能 力 和 灵活 可 编程 等 优点 ,为 线 速 


可 利用 多 核 处 理 器 平台 的 # 
从 而 加 速 DPI 的 匹配 性 能 的 挑战 。 


行 处 


总 之 , DPI 的 可 伸缩 性 需求 主要 体现 在 存储 空间 开销 和 匹配 吞吐 量 等 两 方面 睛 ， 即 减少 


特征 匹配 算法 的 存储 空间 开销 ， 并 提高 其 匹配 速率 ， 


DPI 技术 大 


从 而 实现 高 性 能 DPI。 因 此 ， 当 前 的 


究 主要 是 从 时 间 和 空间 等 方面 来 设计 与 实现 基于 便 件 的 特征 匹配 算法 , 从 而 满足 


DPI 的 高 性 能 需求 。 本 文 是 以 时 空 开销 为 视角 ,探讨 基于 硬件 的 字符 串 匹 配 算法 和 正则 表达 
式 算 法 等 研究 进展 ， 并 展望 未 来 DPI 技术 研究 的 关键 问题 。 


3 ”基于 硬件 的 字符 串 匹 配 算法 


基于 硬件 的 字符 串 匹 配 算法 可 分 为 : 存储 高 效 
和 并 行 字 符 串 匹配 算法 。 如 表 1 所 示 , 存储 高 效 算法 是 


er A 


串 匹 配 算法 


字符 串 匹 配 算 法 、 多 字符 字 


符 
究 如 何 通 过 减少 见 余 迁 


移 边 来 压缩 


确定 自动 机 存储 空间 开销 ， 例 如 基于 B-FSM222 和 基于 CDFA%23] 的 阿 堆 - 克 拉 斯 科 算法 ;多 


表 1 AT 
存储 高 效 算法 


B-FSM 
CDFA 
JACK-NFA 
TDP-DFA 
压缩 DFA 

变 步 长 DFA 
比特 拆 分 DFA 
首尾 分 制 DFA 
开行 布 隆 过 滤器 


字符 算法 是 研究 如 何 通 过 构建 一 次 处 理 多 个 字符 的 三 
JACK-NFA ^, jt-F- TDP-DFASE5、 基 于 压缩 的 确定 型 有 限 自 动机 2 和 基于 变 步 长 的 确 
定型 有 限 自 动机 ?71 的 阿 霍 -克拉 斯 科 算 法 ， 并 行 算法 是 研究 如 何 通 过 并 行 化 字符 串 匹 配 操作 


于 


的 字符 串 匹配 算法 分 类 
多 字符 算法 


— 
m 
u 
y 


2222. 


22. 2. 


E E SMEs DEC Ae Te, 例如 基 


^ Dynamic Random Access Memory， 动 态 随机 存储 器 


5 BART-based Finite State Machine, BART: Balanced Routing Table, - 
具有 绥 存 的 确定 型 


$ Cached Deterministic Finite Automaton, 


-种 可 编程 状态 机 技术 


限 自动 机 


7 Jump-ahead Aho-CorasicK NFA, NFA: Non-deterministic Finite Automaton， 非 确定 型 有 限 自 动机 
8 Transition-Distributed Parallel DFA, 迁移 边 分 布 的 并 行 确定 型 有 限 自动 机 
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来 加 速 确 定 自动 机 的 匹配 性 能 ， 例 如 基于 比特 拆 分 的 确定 自动 机 所 、 基 于 首尾 分 割 的 确定 
动机 P 和 基于 并 行 布 隆 过 滤器 (Bloom Filter) 5 的 阿 霍 -克拉 斯 科 算法 。 
3.1 阿 霍 -克拉 斯 科 算 法 

阿 霍 -克拉 斯 科 算 法 中 是 经 典 的 字符 串 匹 配 算法 ， 即 采用 一 个 确定 自动 机 表示 一 组 特征 
字符 串 ， 称 为 原始 确定 自动 机 。 原 始 确 定 自 动机 的 构建 过 程 是 : 

- “为 特征 字符 串 集 构建 一 颗 以 初始 状态 0 为 根 节点 的 特 里 树 (Trie); 

- “从 特征 字符 串 集 中 提取 所 有 唯一 字符 ， 构 建 字母 表 ; 

— ， 根据 字母 表 ， 从 特 里 树 的 根 节 点 ( 即 初始 状态 0) 开始 ， 逐 层 为 每 个 状态 构建 其 转移 


(Goto) 函 数 、 失 效 (Failure) 函 数 和 输出 (Outpub 函 数 ， 
转移 函数 是 指 当 读 入 字符 匹配 时 ， 从 当前 状态 迁移 到 下 一 个 状态 ; 


直到 叶 


子 节点 ( 即 匹 配 状态 )。 
失效 函数 是 指 当 读 入 


字符 不 匹配 时 ， 从 当前 状态 迁移 到 某 个 指定 状态 ; 输出 函数 是 指 当 迁 移 到 匹配 状态 时 ， 输 出 


所 有 匹配 字符 串 。 
图 1 给 出 了 字符 串 
态 为 2 、 


树 深度 为 d+1 的 目的 状态 j; 
度 为 d'<d 的 目的 状态 j; 
fei. 如 果 目 的 状态 j 的 树 
在 原始 确定 自动 机 的 状态 迁移 表 ， 


ys ae, 


Jy ioa calm. 
Ti. kx: 图 


sette. 


R1. FER (he 


原始 确定 自动 机 的 匹配 过 程 是 : 设置 初始 


E (he, she, his, hers} 的 原始 确定 自动 机 ， 其 中 初始 状态 为 0 ， 
5、7 和 9 。 如 图 


匹配 状 


1 所 示 ， 实 线 表示 基本 迁移 边 ， 即 从 树 深度 为 d 的 源 状 态 i 迁 移 到 


如 果 


fiz 


深度 dq 


A 


是 线 表 示 交 叉 迁 移 边 ， 即 从 树 深度 为 d 的 源 状态 i 迁移 到 树 深 
目的 状态 j 的 树 深度 d' 为 0， 则 该 交叉 迁移 边 又 
为 1， 则 该 交叉 迁移 边 又 称 为 重启 迁移 边 。 


首 表 示 源 状态 ， 划 


» íT 
1 省 略 了 原始 确定 自动 机 的 失效 迁移 边 。 


-- 


,she,his, hers! 的 原始 确定 


迁移 到 下 一 


个 状态 WN’ 设置 下 一 个 
， 输 出 所 有 匹配 字符 串 。 


例 


状态 为 当前 
如 ， 在 图 1 中 ， 


态 0 开始 ， 原 始 确 
配 字符 串 集 


塔 克 (N. Tuck) 等 人 BH 采用 位 图 


HARRIUS HA 


定 自 动机 存储 空间 需求 ， 


并 增强 阿 霍 -克拉 


他 表示 


H dsaliershal 时 ， 从 初始 
hf 定 自动 机 执行 状态 迁移 为 0 一 3 一 0 二 1 二 2 二 8 一 9 一 4 一 5， 并 输出 匹 


AE TTS, daz ME 
斯 科 算 法 的 最 坏 情况 性 能 。 
大 小 为 256， 原始 确定 自动 机 的 每 个 状态 包含 256 个 状态 指针 , 


如 图 1 所 示 ， 
的 状态 ; 列 首 表示 匹配 字 


自动 机 
nci 0, som 
M 


个 字符 时 ， 
; 如 果 下 一 个 状态 为 匹配 


状 


-克拉 斯 科 算 法 的 确 
由 于 ASCII 码 字 母 表 


向 每 个 ASCH 码 字 符 对 应 
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x 


m^ 


WP ORAS, Sensu 
采用 1 个 状态 指针 Next Ptr 及 其 节点 位 图 
规则 指针 Rule Ptr ， 而 不 需要 维护 256 MY 
的 头 指针 ， 节 点 位 图 Node Bitmap 是 表示 每 个 ASCH 码 字 符 对 应 的 下 
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外 定 自动 机 的 存储 空间 开销 很 大 。 如 图 2 Bros. 位 图 压缩 确定 自动 机 


Node Bitmap . 1 个 失效 指针 Failure Ptr 以 及 1 个 
态 指 针 。 状 态 指 针 Next Ptr 是 指向 下 一 状态 队列 
状态 是 否 是 初始 状 


即 0 比特 表示 下 一 状态 是 初始 状态 ，1 比特 表示 下 一 状态 不 是 初始 状态 ， 失 效 指针 
Failure Ptr 是 指向 初始 状态 的 指针 ; 规则 指针 Rule Ptr 是 指向 匹配 


规则 队列 的 头 指针 。 图 2 


2i 


为 0， 


在 


8 了 位 图 压缩 确 


Po Ate 


而 学 和 从 hh 
Failure Ptr 指向 初始 状态 0， 


Ml 


Failure Ptr| Rule Ptr 
Node 


图 2 中 ， 当 读 入 一 个 字 
5 计算 出 Node Bitmap 4 
Next Ptr +1 ， 并 检查 该 ; 
节点 位 图 Node Bitmap 


定 自 动机 的 状态 5 数据 结构 。 在 Node Bitmap 中 ， 字 符 e 和 i 对 应 的 比特 
r Alls 对 应 的 比特 为 1， 因 而 Next Ptr 指向 下 一 状 点 队列 的 头 节点 1， 
Rule Ptr 指向 匹配 规则 队列 fshe,Phe} 。 


状态 5 
Failure Ptr Rule Ptr 


erehe jee pees 
ofofofafofofo]1}o}1jo| 


Node Bitmap 


图 2. 位 图 压缩 确定 自动 机 的 状态 节点 数据 结构 


符 r 时 ， 由 于 节点 位 图 Node Bitmap 的 第 r 位 比特 为 1， 状 态 
Par 位 之 前 的 1 比特 个 数 为 1， 则 计算 出 下 一 状态 的 存储 地 址 是 
大 态 的 规则 指针 ， 输 出 对 应 的 匹配 规则 。 当 读 入 一 个 字符 i 时 ， 由 于 
的 第 i 位 比特 为 1， 则 计算 出 下 一 状态 的 存储 地 址 是 失效 指针 


uy 


Failure Ptr 指向 的 初始 状态 。 


3.2 存储 高 效 字符 串 匹 配 算法 


zu 


外 定 自动 机 存储 空间 是 由 状态 迁移 边 所 构成 。 Hh 


究 者 提出 了 存储 高 效 字 符 串 匹配 算法 ， 


通过 减少 状态 之 间 的 兄 余 迁 移 边 来 减少 有 


定 自动 机 存储 空间 需求 。 本 节 主 要 介绍 基于 


B-FSM 和 基于 CDFA 的 阿 霍 -克拉 


3.2.1 基于 B-FSM 的 阿 霍 -克拉 斯 科 算 法 


伦 特 人 有 


的 阿 霍 -克拉 斯 科 算法 ， 


即 采 用 优先 级 和 


BART(Balanced Routing Table, 平衡 路 径 表 ) 算 法 搜索 优先 级 最 高 的 


Po AT 


字符 


斯 科 算 法 。 


ECJ. van Lunteren ) 等 人 3 提出 了 一 


ÆR {he,she,his,hers} 的 B-FSM， 其 中 左 图 是 状态 迁移 ， 右 图 是 优 
和 0 的 迁移 边 。 如 图 3 所 示 ， 每 条 迁移 边 包 含 4 个 字段 ， 即 源 状 态 、 匹 配 字符 、 


种 基于 B-FSM(BART-based Finite State Machine) 
通配符 状态 等 方法 压缩 状态 迁移 边 ， 并 采用 
匹配 迁移 边 。 图 3 给 出 了 
先 级 分 别 为 2、1、 
目的 状态 和 


优先 级 。 例 如 ， 迁 移 边 {fe: 12 2: 2) 表示 当 


先 级 为 2 迁移 边 fh: * 1: h) KRAN 


CPhI, RRA BSI 


匹配 字符 e 时 ， 源 状态 1 迁移 到 目的 状态 2 且 优 


的 状态 1 且 优先 级 为 


1; 迁移 边 {* > * 0: 0} 表示 当 匹 配 非 字 母 
级 为 0。 


B-FSM 的 匹配 过 程 是 : 当 读 入 
状态 和 读 入 字符 匹配 的 迁移 边 ， 即 从 优 儿 
边 。 例 如 ， 在 图 3 


当 读 入 一 个 字符 s 时 ， 当 前 状态 为 初始 状态 


ARP AY 


LAN PUE 


字符 
ERA 2 的 迁移 边 
， 当 读 入 一 个 字符 串 {sohershe} 时 ， 在 B-FSM 中 查找 所 有 匹配 字符 串 ; 


= 


[m 


时 ， 任 意 状 态 迁 移 到 目的 状态 0, HU 


时 ， 从 状态 迁移 表 中 查找 优先 级 最 高 的 与 当前 


WAR, 直到 优先 级 为 0 的 迁移 


0， 匹 配 出 迁移 边 {fs:* 一 3:1 ， 迁 移 到 下 一 状 


态 3; 当 读 入 下 一 个 字符 o 时 ， 
ees sd 
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匹配 出 迁移 边 { 


*:* 玉 0: 0} ， 迁 移 到 下 一 状态 0， 当 读 入 下 


守 h 时 ， 匹 配 出 迁移 边 (h: * 一 1: 1}， 迁移 到 下 一 状态 1; 当 读 入 下 一 个 字符 e 时 ， 匹 


ES ES ES ESI ES S LESE 
SEIS ESI ES] | ES 


图 3. 字 符 串 集 fhe, she, his, hers} 的 B-FSM 


配 出 迁移 边 (e: 12 2: 2} ,迁移 到 下 一 状态 2, 输 出 匹配 字符 串 {he} ; 当 读 入 下 一 个 字符 r 时 ， 
匹配 出 迁移 边 {r:2 一 8: 2} ， 迁 移 到 下 一 状态 


{5:8 一 9: 2}， 迁 移 到 下 一 状态 


{fe:4 一 5: 2}， 迁 移 到 下 一 状态 


出 迁移 边 {h:9 一 4: 2} ， 迁 移 到 下 一 状态 


8; 当 读 入 下 一 个 字符 s 时 ， 匹 配 出 迁移 边 


9， 输 出 匹配 字符 串 {hers}; 当 读 入 下 一 个 字符 hh 时， 匹配 


4; 
5， 输 出 匹配 字 


当 读 入 下 一 个 字符 e 时 ， 匹 配 出 迁移 边 
TP {she,he} 。 因 此 ，B-FSM 执行 状态 迁移 


03309135238 595455}, Jf VL WU TT BE fhe, hers, she, he} . 


3.2.2 基于 CDFA 的 阿 霍 -克拉 斯 科 算 法 


图 4. 字 符 串 集 fhe, she, his, hers} 的 CDFA 


RAK (CS, T. Song) 等 


eligi Y —R 


EF CDFA 的 阿 霍 -克拉 斯 科 算法 ， 即 采用 绥 


存 器 记录 额外 状态 来 扩展 确定 自动 机 , 减少 风 余 交叉 迁移 边 , 并 采用 下 一 状态 寻 址 方法 来 高 
效 存储 和 查找 迁移 边 。 图 4 给 出 了 字符 串 集 {he, she, his, hers} 的 CDFA， 其 中 左 图 是 状态 迁 


移 ， 右 图 是 对 应 的 迁移 边 。 与 和 


外 的 当前 状态 。 


3 的 B-FSM 相 比 ， 图 4 的 CDFA 减少 了 部 分 交叉 迁移 边 ， 
即 迁移 到 树 深度 为 2 的 目的 状态 , 而 保留 其 他 交叉 迁移 边 ; 图 4 中 的 缓存 是 用 于 存储 1 个 额 


CDFA 的 匹配 过 程 是 : 设置 初始 当前 状态 current. state 为 0， 绥 存 中 额外 状态 
cache state 为 初始 状态 0; 当 读 入 一 个 字符 时 ， 从 状态 迁移 表 中 查找 current. state 和 
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cache state 对 应 的 下 一 状态 分 别 为 next _ statel 和 next_state2 ， 如 果 next _statel 存在 ， 则 


Wt E current. state X next _statel ， 并 查找 初始 状态 0 对 应 的 下 一 状态 next _state0 ， 设 置 


cache state 为 next _ 


state0 ; 如 果 next statel 不 存在 且 next. state2 存在 ， 则 设置 


current state 为 next_state2 H. cache. state 为 next_state0 ; W R next_statel 和 


next state2 均 不 存在 


例如 ,在 图 4 中 ， 


MU En 


读 入 一 个 字符 s 时 , 设 


Enni 


, W cache state 7j next _state0 T cache. state 为 0. 


当 读 入 一 个 字符 串 {shishe} I}, Æ CDFA 中 查找 所 有 匹配 字符 串 ; 当 
current _ state 和 cache _ state 均 为 0，next_statel 和 mext_state2 均 


为 3， 则 迁移 到 下 一 状 
KY, next. statel 7j 4 


态 3, WE current _ state 和 cache. state 357] 3; 当 读 入 下 一 个 字符 h 


日 next, state2 为 4， 则 迁移 到 下 一 状态 4， 设置 current_state 为 4, 


并 查找 出 next. state0 为 1， 设置 cache state 1; 读 入 下 一 个 字符 i 时 ，next _statel 不 存 


Æ H. next. state2 为 6， 则 设置 current_state 为 6， 并 查找 出 next_state0 为 0， 设 置 
cache state 为 0; 当 读 入 下 一 个 字符 s IY, next_statel 为 7 H next _state2 为 3， 则 迁移 到 


状态 7， 设 置 current _state 为 7， 并 查找 出 next _state0 为 3， 设 置 cache state 为 3， 输 出 
匹配 字符 串 集 (his) ; 当 读 入 下 一 个 字符 h 时 ，next_statel 不 存在 且 next. state2 为 4， 则 设 


'H current. state 为 4, 


符 e 时 ， next. statel 


并 查找 出 next. state0 为 1， 设置 cache _state 7j 1; 当 读 入 下 一 个 字 
为 5 日 next_state2 为 2， 则 设置 current_state 为 5， 并 查找 出 


next state0 为 0， 设 


设置 cache _state 为 0， 输出 匹配 字符 串 集 {she,he} 。 


3.3 多 字符 字符 串 匹 配 算法 

为 了 提高 字符 串 匹 配 算法 的 吞吐 量 ， 研究 者 提出 了 多 字符 字符 串 匹 配 算法 , 包括 固定 步 
长 和 变 步 长 的 多 字符 字符 串 匹 配 算法 。 固 定 步 长 是 指 每 次 读 入 相同 大 小 的 多 个 字符 来 进行 确 
定 自动 机 状态 迁移 ， 而 变 步 长 是 指 每 次 读 入 不 同 大 小 的 多 个 字符 来 进行 确定 自动 机 状态 迁 


移 。 本 节 分 别 介 绍 固 定 步 长 和 变 步 长 的 阿 霍 -克拉 斯 科 算 法 。 


3.3.1 固定 步 长 的 多 字符 阿 霍 -克拉 斯 科 算法 


IXH ÉRJE CS. Dharmapurikar) 
等 人 PI 提出 了 一 种 基于 JACK-NFA 
(Jump-ahead Aho-Corasick NFA) 的 
阿 霍 -克拉 斯 科 算 法 ， 即 在 确定 自动 
机 基础 上 ， 通 过 跳跃 固定 步 长 的 多 
个 字符 来 构建 一 个 JACK-NFA， 并 
采用 布 隆 过 滤器 来 存储 和 查找 迁移 


Poh H 


EX EDEN 
once] 3 fo] EE 
ba] s | 9 | | 


[o cs | 7 | 0 | be | 
| 6 | 0 | bade | 


ee] 4 [0 [ace | 


边 。 图 5 feti T FRERIK (abe <eo o — 


cde,bade,bc} 的 JACK-NFA, Hi] 


定 步 长 为 2。 如 图 $ 所 


图 $. 字 符 串 集 tabcd ,cde,bade,bc) 的 JACK-NFA 


W, AR 


是 状态 迁移 ， 右 图 是 对 应 的 迁移 边 ; 根据 匹配 字符 长 度 ， 迁 移 边 可 分 为 3 组 ， 并 采用 布 隆 过 


滤器 来 表示 每 组 迁移 边 。 状 态 迁 移 表 的 每 个 元 素 包 含 4 个 字段 ， 即 < 源 状态 ， 匹 配 字 符 >、 
目的 状态 、 额 外 状态 和 匹配 字符 串 。 


JACK-NFA 的 匹配 过 程 是 : 设置 初始 当前 状态 为 0， 采用 DFA1 查找 一 个 读 入 字符 串 


采用 DFA2 查找 一 个 偏 移 1 个 字符 的 读 入 字符 串 ， 且 DFA1 和 DFA2 并 行 执行 ; 当 读 入 一 个 
字符 时 ， 查 找 状态 迁移 表 对 应 的 布 隆 过 滤器 ， 每 个 确定 自动 机 的 当前 状态 迁移 到 下 一 状态 ; 


如 果 下 一 个 状态 为 匹 本 


状态 ， 和 输出 所 有 匹配 字符 串 。 例 如 ， 在 图 5 中 ， 读 入 一 个 字符 串 


{abadeabcdea} , 在 JACK-NFA 中 查找 所 有 匹配 字符 串 ; 设置 初始 状态 0 为 当前 状态 , DFA1 
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读 入 一 个 字符 串 {abadeabcdea} ， 而 DFA2 读 入 一 个 字符 串 {badeabcdea} ; DFA1 执行 状态 
iE W 0 {1,0} > {0,0} > {0,0} > {7,0} > {0,0} > {0,0} ， 输 出 匹配 字符 串 集 {bc}; DFA2 


执行 状态 迁移 为 0 二 {0,0} 2 {5,0} — {6,0} — {1,0} — {2,0,3} > {4,0} . #0 tH UG Pic F AF E E 


{bade, abcd ,cde} 。 


PFUEXK CGE, Hongbin Lu) 等 人 后] 提出 了 一 种 基于 TDP-DFA 的 阿 霍 -克拉 斯 科 算 法 ， 


即 通过 跳跃 相同 大 小 的 多 个 字符 来 构建 一 个 TDP-DFA, 并 采用 BCAM 存储 和 并 行 查找 迁移 


边 。 图 6 给 出 了 字符 串 集 (abcd,cde,bade,bc) 的 TDP-DFA， 其 固定 步 长 为 2。 如 图 6 所 示 ， 


左 图 是 状态 迁移 , 右 图 是 对 应 的 1 迁移 边 ; 以 源 状态 和 [匹配 字符 为 搜索 关键 值 , 采用 BCAM 
来 表示 和 查找 迁移 边 。 状 态 迁 移 表 的 每 个 元 素 包 含 3 个 字段 ， 即 < 源 状态 ， 匹 配 字符 >、 


的 状态 和 匹配 标记 ， 其 中 匹配 字符 串 存 储 在 片 外 存储 器 中 。 


ae] TO 
EXD 2 UN 
oa 3 | 0 | 
EINEN | 1 | 


abe] 1 CNN 
iba] s [0- 
esto NI 


ADE 
EX 2 [0 | 
EZE | 1 | 0 | 
| 0 | 1 | 
EX EEN 
ba] 3 | 0 | 
sa| 2 [0 | 
— Ea 


图 6. 字 符 串 集 {abcd ,cde, bade, bc} 的 TDP-DFA 


Ej JACK-NFA 相 类 似 ，TDP-DFA 的 匹配 过 程 是 : 设置 初始 当前 状态 为 0， 采 用 确定 自 


动机 DFAL 查找 一 个 读 入 字符 串 , 采用 确定 自动 机 DFA2 查找 一 个 


rH 
FH , 


定 自 动机 从 当前 状态 迁移 到 下 一 状态 ;如 果 下 一 个 状态 为 匹配 状态 ， 


局 移 1 个 字符 的 读 入 字符 


H. DFAI 和 DFA2 是 并 行 执行 ， 当 读 入 一 个 字符 时 ， 查 找 状 态 迁 移 表 的 BCAM， 每 个 确 


输出 所 有 的 匹配 字符 串 。 


查找 所 有 匹配 字符 串 ; 


例如 ， 在 图 6 中 ， 读 入 一 个 字符 串 {abadeabcdea} ， 在 TDP-DFA ! 
从 初始 状态 0 开始 ，DFA1 读 入 一 个 字符 串 {abadeabcdea} iil 


DFA2 读 入 一 个 字符 串 


{badeabcdea} ; DFA1 HÁTRA EK W015 050505050, 输出 匹配 字符 串 集 {bc}; 


DFA2 执行 状态 迁移 为 0 一 0 一 3 一 0 一 1 一 2 一 0， 输 出 匹配 字符 串 集 (bade, abcd ,cde} 。 


艾 利 且 瑞 CM. Alicherry) 等 人 5 提出 了 一 种 基于 压缩 确定 自动 机 的 阿 霍 - 克 拉 斯 科 算法 ， 
即 在 原始 确定 自动 机 基础 上 构建 一 个 处 理 多 字符 的 压缩 确定 自动 机 ， 支 持 回 滚 (Rollbaclo) 碍 


找 和 最 长 输入 匹配 等 操作 ， 并 采用 TCAM 实现 迁移 边 的 快速 查找 。 图 7 给 出 了 字符 串 集 


{abcd ,cde,bade,bc) 的 压缩 确定 自动 机 ， 其 固定 步 长 为 2。 如 图 7 所 示 ， 左 图 是 状态 迁移 ， 


右 图 是 对 应 的 迁移 边 ， 状 态 迁 移 表 的 每 个 元 素 包 含 4 个 字段 ， 即 < 源 状态 ， 匹 配 字 符 >、 


LI 


IARE. d ER AAR AVE RO E s 表 中 状态 迁移 边 是 按照 优先 级 从 高 到 低 、 从 左 到 右 的 次 序 
排列 ， 即 基本 迁移 边 的 优先 级 最 高 ， 重 启 迁移 边 的 优先 级 次 之 ， 其 他 拆 分 迁移 边 又 次 之 ， 失 


效 迁 移 边 的 优先 级 最 低 。 


? Binary Content Addressable Memory， 双 态 内 容 可 寻 址 存储 器 
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EX ED EN EE 
=s |2 | 


Low 


图 7. 字 符 串 集 {abcd,cde,bade, be} 的 压缩 确定 自动 机 


压缩 确定 自动 机 的 匹配 过 程 是 : 设置 初始 当前 状态 为 0， 当 读 入 一 个 字符 时 ， 碍 找 状态 
迁移 表 对 应 的 TCAM， 当 前 状态 迁移 到 下 一 状态 ， 如 果 下 一 个 状态 为 匹配 状态 ， 输 出 所 有 
匹配 字符 串 。 例 如 ， 在 图 7 中 ， 读 入 一 个 字符 串 {abadeabcdea} ， 在 压缩 确定 自动 机 上 查找 
所 有 匹配 字符 串 ， 从 初始 状态 0 开始 ,根据 匹 配 字 符 的 不 同步 长 ， 压 缩 确 定 自动 机 执行 状态 
迁移 为 0 一 {ab:1} > {a:5} > {de:6} > {ab:1}  (cd:2) 一 fe:4 一 1a8}， 其 中 他 表示 匹配 字符 
和 目的 状态 ， 输 出 匹配 字符 串 集 {bade,abcd,bc,cde} 。 


3.3.2 变 步 长 的 多 字符 阿 霍 -克拉 斯 科 算法 


华 楠 (音译 , Nan Hua) 等 人 ?提出 了 一 种 基于 变 步 长 确定 自动 机 的 阿 霍 -克拉 斯 科 算 法 ， 
即 采 用 风 选 (Winnowing) 算 法 将 特征 字符 串 和 读 入 字符 串 分 割 成 不 同 大 小 的 字符 子囊 ， 构 建 
一 个 变 步 长 而 定 日 动机 ， 并 采用 哈 希 表 得 找 核心 迁移 边 以 及 采用 TCAM 查找 短 迁 移 边 。 图 
8 给 出 了 字符 串 集 {power, identical authenticate, enter, set 的 变 步 长 确定 自动 机 ， 其 中 左 图 
是 将 特征 字符 串 分 制 成 子 串 ， 右 图 是 状态 迁移 。 如 图 8 所 示 , 采用 风 选 算法 将 特征 字符 串 分 
3 3 个 子 串 ， 即 头 部 子囊、 核心 子 串 和 尾部 子囊 ， 其 中 核心 子 串 对 应 的 迁移 边 称 为 核心 迁 
移 边 ， 头 部 子 串 和 尾部 子 串 对 应 的 迁移 边 称 为 短 迁 移 边 。 在 图 8 的 状态 迁移 中 ， 虚 线 迁 移 边 
是 短 迁 移 边 , 实 线 迁移 边 是 核心 迁移 边 ; 短 迁 移 边 采 用 TCAM 查找 出 匹配 状态 ( 即 虚线 节点 )。 


power 


identical 
authenticate 
enter 

set 


e 
S 

auth|te a 

set authenticate 


图 8. 字 符 串 集 (power, identical ,authenticate, enter, set’ 的 变 步 长 确定 自动 机 


3.4 并 行 字 符 串 匹配 算法 


为 了 实现 线 速 DPI, f 


的 匹配 速率 


基于 专用 肉 入 式 硬件 的 比特 拆 分 阿 震 -克拉 
克拉 斯 科 算 法 、 基 于 并 行 布 隆 过 滤器 的 阿 霍 -克拉 其 


HE 
x 


究 者 提出 了 3 


3.4.1 比特 拆 分 阿 霍 -克拉 斯 科 算 法 


TK (音译 ，Lin Tan) APSE H 
算法， 即将 原始 确定 自动 
每 个 读 入 字符 的 指定 比特 子 日 


霍 -克拉 斯 和 


定 自动 机 并 行 处 型 


包 检 测 技术 研究 进 


斯 科 算 法 、 


匹配 算法 ， 即 利用 并 行 化 提高 胡 
， 压 缩 确定 自动 机 存储 空间 需求 ， 从 而 提高 DPI 的 匹配 吞吐 量 。 本 文 主要 介绍 


基于 多 核 处 理 


器 平台 的 首 


f 科 算法 。 


3] 2 
r 1104|0|1]1[o|1]0]0]0| 
[s [15[o[1]1]|2/0|0|2 1| 
[e |101|o|1|1[0/0|1][0 1| 
| 110 ]0|1]1[o|1]0]|0]1| 
|r qua[o[1j1[2,0[0[1,0] 


[5 | 4 | 


BoiDFA 


四 四 


9. ^r T 8 fhe, she, his, hers) 的 比特 拆 分 确 


8 了 一 种 面向 嵌入 式 硬件 实 
机 拆 分 为 一 


H 
Et 


B23DFA 


定 自动 机 


现 的 比特 拆 分 (Bit-Split) 


E ESL 


BAHE- 


x 


par 


组 并 行 的 微型 确定 自动 机 ， 


AE 


o 图 9 给 出 了 字符 串 集 {he,she 
比特 拆 分 确定 自动 机 ， 其 中 上 图 是 将 原始 字母 表 拆 分 成 微型 字母 表 ， 即 2B, M EB, ， 
是 对 应 的 两 个 微型 确定 自动 机 , 即 By DFA 和 B,,DFA .如 图 
的 比特 拆 分 中 , 每 个 8 位 比特 的 字符 被 拆 分 为 4 个 2 位 比特 子 串 ， 从 而 构建 机 
表 。 微 型 字母 表 2B,, 的 每 个 元 组 包括 第 0 和 1 位 比特 子 是 


了 每 个 微型 确 


的 


,his, hers} 


下 图 


9 所 示 , 在 原始 字母 表 (e,h,i,r,s} 
应 的 微型 字母 
及 相应 的 字符 子 集 。 例如， 第 2 


个 元 组 包含 2 位 比特 子 串 01 和 相应 的 字符 子 集 (e i) ; 微型 字母 表 >B,, 的 每 个 元 组 包括 第 2 


和 3 位 比特 子 串 及 相应 的 字符 子 集 。 


LEED RAG 
串 被 分 发 给 相应 的 微型 确 


9 动机 ; 


Ke 


和 定 自动 机 的 匹配 过 程 是 : 


H, 


AA 


ME 自动 机 从 初始 微型 状态 0 


每 个 读 入 字符 被 拆 分 为 一 组 b 位 比特 子 


d. pe 


th, JE 


移 到 下 一 个 状态 ; 对 所 有 下 一 个 微型 状态 对 应 的 原始 状态 子 集 进行 求 交集 运算 , 输出 原始 匹 
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配 状态 及 其 对 应 的 特征 字符 串 。 例 如 ， 在 图 9 中 ， 当 读 入 一 
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个 字符 串 {rhe} 时 ， By, DFA iz 


入 的 2 位 比特 子 串 集 为 10,00,01 ,而 B,,DFA 读 入 的 2 位 比特 子 串 集 为 {10,10,01}; B, DFA 


执行 状态 迁移 为 0 一 3 一 6' ;: B DFA 也 执行 状态 迁移 为 0' 


B DFA 的 状态 0' 和 1 不 是 匹配 状态 ， 且 B,,DFA 的 状态 0' 、 


B, DFA 的 状态 3' 和 B,,DFA 的 状态 6' 进行 求 交 


匹配 字符 串 集 {he} 。 
3.4.2 首尾 分 割 阿 霍 -克拉 斯 科 算 法 


katate (Gare, Yi-Hua Yang) 
等 人 外 提出 了 一 种 基于 首尾 分 制 确 
定 目 动机 的 阿 霍 -克拉 斯 科 算法 ， 即 
将 原始 确定 自动 机 分 割 成 1 个 首部 
确定 自动 机 和 多 个 并 行 尾 部 非 确定 
型 有 限 自 动机 ， 并 利用 多 核 处 理 器 
的 多 核 多 线程 来 实现 首尾 分 割 确定 
自动 机 。 图 10 给 出 了 字符 串 集 
the, she, his, hers} 的 首尾 分 割 确 定 
自动 机 ， 即 沿 着 树 深度 为 2 进行 分 
H, HE ERE 1 个 首部 确定 自动 
He ARE 3 个 并 行 尾部 非 确 定型 
有 限 自动 机 。 如 图 10 Pras, 状态 2、 
6 和 4 是 触发 状态 ， 即 当 首 部 确定 


自动 机 迁移 到 触发 状态 时 , 启动 相应 的 尾部 非 丰 
处 理 器 平台 上 ， 首 部 确定 自动 机 是 主线 程 ， 尾 部 非 


动 子 线程 后 ， 主 线程 与 子 线程 并 行 执行 。 


首尾 分 割 确 定 自 动机 的 匹配 过 程 是 : 设置 


初始 当前 状态 为 0， Paka 个 字符 时 ， 首 部 


确定 自动 机 的 当前 状态 迁移 到 下 一 个 状态 ; 如 


定型 有 限 自动 机 线程 , 设置 触发 状态 为 尾部 非 外 


果 下 一 状态 为 触发 


下 一 状态 ; 并 设置 触发 状态 为 首部 确定 自动 机 


的 当前 状态 ， 


定 自动 机 或 尾部 非 确定 型 有 限 自 动机 的 下 一 个 状态 为 
如 ， 在 图 10 中 ， 当 读 入 一 个 字符 串 {sohershe} 时 ， 从 初始 状态 0 开 H 
状态 2 或 4 时 ， 先 后 局 动 2 次 


行 状态 迁移 为 0 一 3 一 0 二 1 二 2 一 0 二 3 一 4 一 2 ， 当 迁移 到 


尾部 非 确定 型 有 限 自动 机 线程 分 别 执行 状态 迁移 为 2 0.8 ->9 B45, 


E {he, she, his, hers} 。 


3.4.3 基于 并 行 布 隆 过 滤器 的 阿 替 -克拉 斯 科 算法 
达 马 普 利 卡 等 人 5 提出 了 一 种 基于 并 行 布 隆 过 滤器 的 


符 串 长 度 不 同 ， 将 特征 字符 串 集 分 成 多 个 字符 串 子 集 ， 采 月 
日 多 个 布 隆 过 滤器 是 并 行 查 找 。 图 11 给 出 了 基 
其 中 每 个 布 隆 过 滤器 表示 一 组 长 度 相同 的 特征 字符 串 。 


F3 


'>6'; 由 于 


fine, THE 


AS» 触发 相应 的 尾部 非 确 
定型 有 限 目 动 机 的 当前 状态 ， 迁移 到 相应 的 


dea pas 如 果 首 部 


1 cs 3' 也 不 是 匹配 状态 ， 对 
匹配 状态 {2} 及 其 对 应 的 


10. 字符 串 集 {he,she,his,hers} 的 
首尾 分 割 确定 自动 机 


外 定 型 有 限 上 自动 机 线程 进行 状态 迁移 。 在 多 核 
定型 有 限 自 动机 是 子 线 程 ， 


当主 线程 启 


匹配 状态 , 输 


2 IH 


字符 串 


昌 布 隆 过 滤器 [2 来 表 
行 布 降 过 滤器 的 


字符 串 。 例 
动机 执 


匹配 字符 串 


算法 ， 即 依据 特征 字 
示 每 个 子 集 ， 
匹配 体系 架构 ， 


IME 


累加 的 子 串 ， 


在 图 


找 。 


隆 
个 字符 串 ， 从 串 头 开始 ， 依 次 选择 多 个 长 度 
并 行 查找 对 应 的 布 隆 过 滤器 ， 
输出 所 有 查找 成 功 的 读 入 字符 子 串 。 例 如 ， 


11 中 ，W -2 个 3 
长 度 为 3,…W 的 读 入 字符 子 串 
于 布 降 过 滤器 会 产生 假 了 


行 布 隆 过 滤器 分 别 对 
进行 并 行 查 
性 错误 7， 


的 元 素 被 误 判 为 属于 该 集 


EA 


即 不 属于 集合 5 
合 ， 基 于 并 行 布 隆 过 滤器 的 字符 
也 会 产生 假 阳性 匹配 字符 串 ， 
片 外 哈 希 表 进 行 验证 。 
的 并 行 存储 器 访问 
申 缩 性 差 等 问题 。 


= 


串 匹 配 算法 
因而 需要 查找 
该 算法 要 求 高 吞吐 量 
存在 代价 昂贵 和 可 


HE nh 


TH Ub » 


4 “基于 硬件 的 正则 表达 式 匹配 算法 


随 着 智能 攻击 ， 例 如 躲避 攻击 广 }、 多 态 或 变型 攻击 捕 ”等 不 断 涌现 ， 字 符 串 难以 准确 
描述 这 些 攻击 的 复杂 特征 ,导致 字符 串 匹 配 算法 的 检测 率 降低 。 由 于 正则 表达 式 具 有 丰富 和 


灵活 的 表达 能 
实现 正则 表达 式 匹 配 算法 。 


B9， 当 前 的 NIDS/NIPS 已 采用 了 


深度 数据 包 检测 技术 研究 进展 
过 滤器 的 匹配 过 程 是 : 读 入 一 [ww 由.1817161514131211| 


E S| lz |e 
ote 路 | | 路 | m 
Be aÈ Be pe 
f | p [E 
a Ij Jaj [se 
ig ie ig ig 
图 11， 基 于 并 行 布 隆 过 滤器 的 
字符 串 匹 配 体系 架构 


FE 则 表达 式 蔡 代 字 符 串 来 描述 攻 了 


二 特征， 并 


表 2 基于 硬件 的 正则 表达 式 匹 配 算法 分 类 
迁移 边 压缩 算法 ”状态 压缩 算法 
D°FA!? y 
CD?rA!! Y 
状态 融合 DEA y 
XFA! y 
基于 硬件 的 正则 表达 式 匹 配 算法 可 分 为 : 迁移 边 压 缩 的 正则 表达 式 匹 配 算法 和 状态 压缩 
的 正则 表达 式 匹 配 算法 。 如 表 2 所 示 , 迁移 边 压缩 算法 是 研究 如 何 通 过 减少 见 余 迁移 边 来 压 


缩 确定 自动 机 存 
压缩 算法 是 研究 如 何 通 过 减少 元 余 状 态 来 压缩 有 


态 
WX 
A 
H 


的 确定 型 有 限 


嵌 室 间 开 销 ， 例 如 基于 D°FAP FUSE CD FAP’ H IE 


3 


H 


N 


原始 正则 表达 式 匹配 算法 、 迁 移 边 压缩 和 状态 压缩 的 正则 表达 式 


4.1 原始 正则 表达 式 匹配 算法 


正则 表示 式 匹 配 算法 的 原始 确 


构造 过 程 是 从 初始 状态 
定型 有 限 自动 机 。 正 则 表达 式 
“*" 表 示 任意 多 个 字符 ， 
“1 "表示 字符 重复 ,“[] "表示 字 符 子 集 ,“[] 


转换 为 而 
以 上 字符 ， 
意 一 个 字符 ， 


始 , 为 每 个 状态 构建 确 
有 灵活 


? Delayed Input DFA, — iEJ A AH WA zi A 
!! Content Addressed Delayed Input DFA, 
? Extended Finite Automaton, 4” 


4 有 限 自 动机 


展 有 限 自 动机 


内 容 寻 址 的 延迟 输入 的 确定 型 有 限 


匹配 算法 。 


表达 式 匹 配 算法 ; 状 


和 定 自 动机 存储 空间 开销 , 例如 基于 状态 融 
动机 PJ 和 和 基于 扩展 有 限 自动 机 “1 的 正则 表达 式 匹 配 算法 。 本 节 分 别 介 


定 自 动机 构建 过 程 分 为 模式 编译 和 子 集 构 造 F J。 与 阿 霍 - 
克拉 斯 科 算 法 相 类 似 , 模式 编译 过 程 是 构建 一 颗 从 初始 状态 到 匹配 状态 的 有 向 特 里 树 ; 子 集 


定性 迁移 边 ,即将 非 确 定型 有 限 E 


动机 等 价 


和 丰富 的 特殊 字符 ， 


”表示 非 字符 子 集 。 图 


自动 机 


例如 +" 表示 任意 一 个 
“ | "表示 或 关系 ，“. "表示 单个 字符 通配符 ,“? "表示 任 


12 给 出 了 
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正则 表达 式 集 {.*ab.*c,.*de} 的 原始 确定 自动 机 ， 其 中 左 图 是 状态 迁移 ， 石 图 是 对 应 的 状态 


迁移 表 。 如 图 12 Pras, 在 状态 迁移 表 ， 
用 于 匹配 失效 迁移 边 。 


原始 确定 自动 机 的 匹配 
过 程 是 : 设置 初始 当前 状态 
为 0， 当 读 入 一 个 字符 时 ， 当 
前 状态 迁移 到 下 一 个 状态 ， ua 
并 设置 下 一 个 状态 为 当前 状 “ 

态 ， 依 次 执行 状态 迁移 ， 如 
果 下 一 个 状态 为 匹配 状态 ， ..-w 
输出 所 有 匹配 字符 串 。 例 如 ,、 

在 图 12 中 ， 当 读 入 一 个 字符 
串 {abadcade} 时 ， 从 初始 状 
态 0 开始 ， 原 始 确定 自动 机 


而 


， 列 项 “* ”表示 除 字 母 表 {qa,b,c,d,e} 之 外 的 其 他 字符 ， 


达 式 匹配 算法 ， 造 成 确定 自动 机 存储 空间 需求 大 的 主要 原因 是 : 


12， 正 则 表达 式 集 fs*abp.*xc,*dey 的 原始 确定 自动 机 


PUTRAILE A 09139 25256 93 525657, FH AS 


EB EE (ab -*c,-* de} 。 


确定 自动 机 存储 空间 大 小 是 由 状态 个 数 和 每 个 状态 的 迁移 边 条 数 所 决定 的 。 对 于 正则 表 


一 ”在 迁移 边 方面 , 确定 自动 机 存在 许多 多余 迁移 边 , 包括 状态 间 和 状态 内 的 见 余 迁移 


边 ; 


”在 状态 方面 ， 由 于 正则 表达 式 采 用 许多 语义 丰 ' 


爆炸 。 


A 
“[] ”等 ， 确 定 自动 机 需要 大 量 的 额外 状态 来 记录 部 分 匹配 结 


的 独特 符号 ， 例 如 “*”，“ 人 ”和 


果 ， 导 致 其 状态 空间 


因此 ， 研 究 者 主要 从 状态 和 迁移 边 等 两 方面 压缩 确定 自动 机 存储 2 


E 间 需求 。 


4.2 迁移 边 压 缩 的 正则 表达 式 匹 配 算法 
4.2.1 基于 D'FA 的 正则 表达 式 匹配 算法 


Pes (S. Kumar) 等 人 B7 提 出 了 
一 种 基于 D'FA 的 正则 表达 式 匹配 算 
法 ， 即 采用 一 条 默认 迁移 边 奉 代 不 同 
状态 之 间 的 相同 迁移 边 ， 而 保留 不 同 
迁移 边 ， 从 而 减少 确定 自动 机 存储 空 
间 开 销 。 图 13 给 出 了 正则 表达 式 集 
{.*ab-*c,-*de} 的 DFFA， 其 中 左 图 是 
状态 迁移 ， 右 图 是 对 应 的 非 默 认 迁 移 
边 。 图 中 , 在 DTFA， 虚 线 表 示 默 认 迁 


图 13.， 正则 表达 式 集 {.*ab.* 


c,-*de} 的 D'FA 


移 边 ， 实 线 表示 正常 迁移 边 。 例 如 ， 当 读 入 一 个 字符 a 时， 当前 状态 S 查找 其 默认 迁移 边 ， 


EH H a :5— {4,0,1} 。 


迁移 到 状态 4， 由 于 不 存在 匹配 字符 a 的 正常 迁移 边 ， 状 态 4 又 查找 其 默认 迁移 边 ， 迁 移 到 
状态 0， 状 态 0 查找 匹配 字符 a 的 正常 迁移 边 ， 最 后 迁移 到 状态 1。 因 


此 ， 状 态 5 执行 状态 


D'FA 的 匹配 过 程 是 ， 设置 初始 当前 状态 为 0， 当 读 入 每 个 字符 时 ， 当 前 状态 查找 其 正 


常 迁移 边 是 否 
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配 成 功 。 如 果 匹 配 成 功 ， 当 前 状态 迁移 到 下 一 个 状态 ， 并 设置 下 一 个 状态 为 


jt 
当前 状态 ， 继 续 匹 配 下 一 个 字符 ;如 果 匹 配 不 成 功 ， 当 前 状态 查找 其 默认 迁移 边 ， 迁移 到 下 
一 个 状态 , 该 状态 查找 其 正常 迁移 边 是 否 匹 配 成 功 ;， 如 果 匹 配 成功 ， 该 状态 迁移 到 下 一 个 状 


入 一 个 字符 串 {abadcade} 


态 ， 和 否则， 继续 查找 其 默认 迁移 边 ， 直 到 其 正常 迁移 边 匹 配 成 功 。 例 如 ， 在 图 13 中 ， 当 读 
时 , Æ DFA 中 查找 出 所 有 匹配 字符 串 ， 从 初始 状态 0 F4, DFA 
>2> 6 > 1, 3 全 1 人, 人 一 6 一 7， 并 输出 匹配 字符 串 集 


执行 状态 迁移 为 0 一 1 一 2 
{.*qab.*c,-*de} 。 由 于 采用 默认 迁移 边 ，D*FA 虽然 可 显著 减少 存储 空间 开销 ， 但 是 存在 匹 
配 知 吐 量 低 等 问题 。 例 如 ， 当 读 入 一 


DN B y 


NEZZE $ tabadcade) 时 ， 图 12 的 原始 确定 自动 机 执行 
8 次 状态 迁移 ， 而 图 13 的 DFA 执行 10 次 状态 迁移 。 


4.2.2 基于 CD?FA 的 正则 表达 式 匹配 算法 


库 玛 等 人 的 提出 了 一 种 基于 
CD°FA 的 正则 表达 式 匹配 算法 ， 即 在 
DFA 的 每 个 状态 上 增加 下 一 默认 迁移 
边 的 部 分 内 容 标识 ， 以 消耗 更 多 存储 空 
间 为 代价 来 提高 DFA 的 匹配 吞吐 量 。 
表达 式 集 
其 中 左 图 是 


图 14 给 出 了 正则 


{-*ab.*c,.*de} 的 CD?FA, 
状态 迁移 ， 右 图 是 每 个 状态 维护 的 额外 
内 容 标识 。 如 图 14 所 示 , 在 CD°FA 中 ， 
每 个 状态 的 内 容 标识 包括 2 类 字段 ， 即 
默认 迁移 边 路 径 上 每 个 状态 的 匹配 字符 和 根 节点 。 例 如 ,状态 5 的 内 容 标识 为 “_,e,0 ”其 


中 “_ ”表示 状态 5 的 空 字符 ,“e@e ” 


当前 状态 查找 其 正常 迁移 边 是 否 匹 配 成 功 。 如 果 匹 配 成 功 ， 当 前 状态 迁移 到 下 一 个 状态 ， 
设置 下 一 个 状态 为 当前 状态 ,继续 匹配 下 一 个 字符 ; 如 果 匹 配 不 成 功 ， 当 前 状态 和 
内 容 标 识 ， 跳 跃 式 查找 默认 迁移 
设置 下 一 个 状态 为 当前 状态 ,依次 状态 迁移 ;如 果 下 一 状态 是 匹配 状态 ， 输 
t. 例如， 在 图 14 中 ， 当 读 入 一 


图 14， 正则 表达 式 集 fxsab.xsc, xde} 的 CD?FA 


表示 状态 4 的 有 效 字 符 ,“0 ”表示 默认 迁移 边 路 径 的 
根 节 点 0。 由 于 不 包含 默认 迁移 边 ， 状 态 0 和 2 的 额外 内 容 标识 为 自身 状态 。 


45 D'FA 相 类 似 ，CD?FA 的 匹配 过 程 是 ， 设置 初始 当前 状态 为 0， 当 读 入 每 个 字符 时 ， 


边 路 径 上 的 下 一 匹配 状态 ， 


DN P Pts. 


人 字符 


HH 所 有 
串 {abadcade} 时 ， 在 CD?FA 中 查找 出 所 有 


上 用 其 额外 
当前 状态 直接 迁移 到 该 状态 ， 


匹配 字符 
匹配 字符 


; 从 初始 状态 0 开始 ，CD?FA PUPRAIER A 0915 2525653525657, ， 并 输 


L| 


c 
LC 


匹配 字符 串 集 {.xab-*c,-*de} 。 


态 迁 移 ， 但 是 显著 减少 其 确定 自动 机 存储 空间 开销 。 
4.3 状态 压缩 的 正则 表达 式 匹配 算法 
4.3.1 基于 状态 融合 的 正则 表达 式 匹配 算法 


贝 奇 CM. Becchi) 等 人 中 提出 了 一 种 基于 状态 融合 的 确定 自动 机 的 正则 表达 式 匹 配 算 


因此 ， 与 原始 确定 自动 机 相 比 ，CD?FA 执行 相同 次 数 的 状 


法 ， 即 采用 迁移 边 标 记 方法 来 融合 多 个 非 等 价 状态 ， 从 而 减少 确定 自动 机 存储 


确保 其 最 坏 情况 匹配 性 能 。 


图 15 24H 


14 


了 正则 表达 式 集 {(abc|def )g +1} 的 状态 融合 确 
机 。 其 中 左 图 是 原始 确定 自动 机 ， 右 图 是 对 应 的 状态 融合 的 确定 自动 机 。 如 图 
态 融 合 确 定 目 动机 标记 迁移 边 为 “.” 和 “/”， 则 “-0” 和 “1” 表 示 当 执行 状态 迁移 时 , 分 别 设置 
标记 位 为 0 和 1;“/0” 和 “/1” 表 示 当 标记 位 设置 为 0 和 1 
AS 3 和 4 融合 成 一 个 状态 3-4 时 ， 迁 移 边 “b.0/0” 表 示 当 


EF 间 开 销 ，3 


E 自动 


15 Prax, WK 


j 


时 才 执 行 状态 迁移 。 例 如 ， 当 状 
标记 位 为 0 时 ， 执 行 状 态 迁 移 ， 
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设置 标记 位 为 0， 迁 移 边 “c/0 ”表示 当 标 记 为 0 时 ， 执 行 状态 迁移 。 


状态 融合 确定 自动 机 的 匹配 过 程 是 : 设置 初始 当前 状态 为 0， 当 读 入 每 个 字符 时 ， 当 前 


状态 查找 出 匹配 迁移 边 , 检查 该 迁移 边 的 标识 位 来 决 


定 是 否 执行 状态 迁移 ， 或 从 当前 状态 迁 


移 到 下 一 个 状态 , 设置 相应 的 标识 位 以 及 下 一 个 状态 为 当前 状态 ， 并 依次 状态 迁移 ， 如 果 下 
一 个 状态 为 匹配 状态 , 输出 所 有 匹配 字符 囊 。 例 如 , 在 图 15 中 , 当 读 入 一 个 字符 串 Cabedefg) 


I. EAS 


中 合 确定 自动 机 中 查找 所 有 匹配 字符 串 ， 从 初始 状态 0 开始 ， 状 态 融合 确定 自动 


机 执行 状态 迁移 为 0 二 -2 二 B83- 人 二 5 二 和 -2 二 88- 人 二 5 二 6, 并 输出 匹配 字符 串 集 


{(abc def )g +1} 。 


4.3.2 基于 扩 


dris 


即 在 状态 上 增加 辅助 变量 和 简单 操作 指令 ,避免 确定 


图 15， 正则 表达 式 集 {(abc|def )g +1} 的 状态 融合 确定 自动 机 
展 有 限 自 动机 的 正则 表达 式 匹配 算法 
CR. Smith) 等 人 四 提出 了 一 种 基于 扩展 有 限 自 动机 的 正则 表达 式 匹配 算法 ， 


动机 状态 空间 爆炸 问题 ,从 而 减少 确 


定 自动 机 存储 空间 开销 。 对 于 正则 表达 式 ,， 确定 自动 机 状态 空间 爆炸 产生 的 根本 原因 是 : 当 


多 个 单独 确定 自动 机 合成 一 个 组 合 确定 自动 机 时 , 一 个 


单独 确定 自动 机 的 歧义 状态 进行 排列 组 合 ,导致 组 合 确 


单独 确定 自动 机 的 非 歧义 状态 与 其 他 


定 自 动机 产生 大 量 的 额外 状态 ， 以 记 


录 所 有 部 分 匹配 结果 。 扩展 有 限 自 动机 采用 辅助 变量 替代 额外 状态 来 记录 部 分 匹配 结果 , 执 
行 简单 操作 指令 来 检查 匹配 是 否 成 功 。 在 扩展 有 限 自 嫩 


单独 扩展 有 限 自 动机 ， 右 图 是 对 应 的 组 合 扩展 有 限 


重 置 (ReseD 和 比较 (Compare) 等 。 


If (bit1=1) 
(5) accept(id1) 


(c) 


) 机 中 ， 操 作 指令 主要 包括 赋值 (Seb、 


图 16。 ENRERE {abe de, fg» fh} 的 扩展 有 限 自动 机 
图 16 给 出 了 正则 表达 式 集 {.*abc -*de,-* fg-* fhi 的 扩展 有 


a 


民 自 动机 ， 其 中 左 图 是 2 个 


动机 (省 略 了 交叉 迁移 边 和 失效 迁移 


边 )。 如 图 16 所 示 ， 对 于 正则 表达 式 {-*abe-*e} 的 单独 扩展 有 限 自 动机 ， 在 状态 3 上 增加 了 
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赋值 操作 指令 bitl =1 ， 表 示 当 迁移 到 状态 3 时 ， 设 置 bitl 为 1， 用 于 记录 已 匹配 abc ; 在 状 
AS 5 上 增加 了 比较 操作 指令 这 bitl 21) , 表示 当 迁 移 到 状态 5 时 , 检查 jitl 是 否 为 1, WER bitl 
为 1， 则 成 功 匹 配 ial ， 输 出 匹配 正则 表达 式 {.*ab:*cd} 。 相 类 似 地 ， 对 于 正则 表达 式 
f fg fh 的 单独 扩展 有 限 自 动机 ， 在 状态 C 上 增加 了 赋值 操作 指令 bit2=1， 在 状态 D 上 
增加 了 比较 操作 指令 if(bit2=1) 。 如 图 16 所 示 , 在 组 合 扩 展 有 限 自 动机 的 状态 3' 和 状态 7' 上 
分 别 增加 了 bitl 和 bit2 的 赋值 操作 指令 , 在 状态 5' 和 8' 上 分 别 增加 了 bitl 和 bit2 的 比较 操作 
指令 。 因 此 ， 当 表示 {.*abc -*de,-* fg.*fh} 时 ， 组 合 扩 展 有 限 自动 机 仅 需 要 9 个 状态 和 2 个 
辅助 比特 变量 。 
扩展 有 限 自 动机 匹配 过 程 是 : 设置 初始 当前 状态 为 0， 当 读 入 每 个 字符 时 ， 当 前 状态 查 
找 相应 的 迁移 边 , 迁移 到 下 一 个 状态 ; 执行 下 一 状态 的 操作 指令 , 检查 辅助 变量 是 否 设置 来 
判断 匹配 是 否 成 功 。 例 如， 在 图 16 中 ， 当 读 入 一 个 字符 串 {abcfhde} 时 ， 在 扩展 有 限 自 动机 
中 查找 出 所 有 匹配 字符 串 ; 从 初始 状态 0' 开始 ， 扩 展 有 限 自 动机 执行 状态 迁移 为 
>l 3 2'33' 3 6' 3 8' 5 4' 55", FTE DOB FF BE {abe -*de) 。 


5 ”结论 与 展望 


past DPI 技术 面临 高 性 能 挑战 ， 即 如 何 满足 高 速 数据 包 处 理 的 存储 空间 需求 和 吞吐 量 ， 提 升 
Ce) 特征 匹配 的 可 伸缩 性 .本文 是 从 时 间 和 空间 开销 等 方面 综述 了 基于 硬件 的 字符 串 匹 配 算法 和 
正则 表达 式 匹 配 算法 , 设计 与 实现 时 空 高 效 数据 包 内 容 过 滤 。 在 基于 硬件 的 字符 串 匹 配 算法 
中 , 本 文 主要 介绍 了 面向 硬件 实现 的 存储 高 效 字符 串 匹 配 算法 、 多 字符 字符 串 匹 配 算法 以 及 
并 行 字符 串 匹 配 算法 ; 在 基于 硬件 的 正则 表达 式 匹 配 算法 中 , 本 文 主要 介绍 了 迁移 边 压 缩 和 
状态 压缩 的 正则 表达 式 匹 配 算法 。 由 于 现代 舱 入 式 人 硬件 具有 存储 空间 受 限 和 并 行 计 算 能 力 强 
等 特点 ， 基 于 硬件 的 特征 匹配 算法 研究 目标 是 如 何 通过 压缩 确定 自动 机 存储 空间 需求 , 在 片 
上 高 速 存储 器 上 存储 和 碍 找 整 个 确定 自动 机 ， 从 而 实现 高 吞吐 量 的 特征 匹配 。 
随 着 100Gbps 高 速 网 络 应 用 的 日 益 普 及 ， 未 来 DPI 技术 将 面临 线 速 数据 包 处理 的 可 伸 
缩 性 挑战 ， 即 DPI 在 处 理 速率 、 特 征 规则 库 、 能 耗 和 价格 等 方面 的 可 扩展 问题 。 特 别 是 ， 
高 速 存储 器 和 多 核 处 理 器 等 硬件 技术 的 日 新 月 异 ， 为 可 伸缩 DPI 技术 带 来 新 的 机 遇 与 挑战 。 
未 来 DPI 技术 面临 如 下 关键 任务 : 
c 1. ”基于 多 核 处 理 器 的 并 行 DPI 技术 研究 。 多 核 处 理 器 ， 例 如 Intel Xeon CPU 和 
© GPGPU E T RA EFA CPU 核 , 具有 强大 的 并 行 计算 能 力 。 并 行 DPI 技术 研 
究 面临 如 何 细 粒 度 并 行 化 特征 匹配 算法 中， 在 多 个 并 行 CPU 核 上 实现 特征 匹配 
的 数据 并 行 、 任 务 并 行 和 流水 线 等 多 粒度 并 行 ， 同 时， 进一步 研究 存储 高 效 特 人 
匹配 算法 ， 即 在 每 个 CPU 核 的 高 速 缓冲 器 上 存储 和 查找 整个 确定 自动 机 ， 从 1 
加 速 DPI 的 匹配 吞吐 量 。 
2. ”基于 TCAM 的 高 效 DPI 技术 研究 。 随 着 高 速 存储 器 技术 的 迅猛 发 展 TCAM ft 
找 速 率 越 来 越 快 、 存 储 空间 越 来 越 大 ， 而 其 能 耗 和 价格 却 不 断 降 低 。 基 于 TCAM 
的 DPI 技术 可 应 用 于 国家 骨干 网 络 的 高 速 链 路 上 , 实现 高 速率 大 容量 数据 包 识 别 
与 过 滤 。 由 于 TCAM 能 耗 与 存储 空间 开销 成 正比 ， 基 于 TCAM 的 高 效 DPI 技术 
研究 需要 研究 如 何 压 缩 确定 自动 机 存储 空间 开销 外 1, 即 从 迁移 边 和 状态 等 方面 综 
合 减 少 状态 迁移 表 的 存储 空间 需求 ， 从 而 减少 其 能 耗 ， 提 高 DPI 的 匹配 性 能 。 
3. ”面向 网 络 虚拟 化 的 高 性 能 DPI 技术 研究 。GENI 和 FIND 等 下 一 代 互 联网 研究 项 
目 采用 网 络 虚拟 化 思想 ， 即 在 一 个 互联 网 基础 设施 的 硬件 平台 上 动态 运行 多 个 相 
互 隔离 的 虚拟 网 络 及 其 应 用 中 9。 支持 虚拟 化 的 可 编程 网 络 设备 是 实现 网 络 虚 拟 化 
的 关键 部 件 ， 即 在 一 个 通用 硬件 平台 上 运行 多 个 虚拟 网 络 设 备 ， 例 如 虚拟 化 可 编 


FA 


| 


~~ 
= 


16 


"d 


第 8 卷 第 6 


[10] 


[11] 


[12] 


[13] 


[14] 


[15] 


[16] 


[17] 


[18] 


[19] 
[20] 


[21] 


[22] 


[23] 


[24] 


其 信息 技术 快报 Vol.8 No.6 
Information Technology Letter Nov. 2010 
程 路 由 器 和 虚拟 NIDS/NIPS 。 高 性 能 DPI 技术 研究 面临 如 何在 可 编程 网 络 设备 的 
计算 和 存储 能 力 受 限 条 件 下 动态 运行 多 个 并 行 特征 匹配 算法 ， 并 确保 每 个 特征 匹 
配 算法 的 存储 空间 需求 和 吞吐 量 , 从 而 支持 更 多 虚拟 网 络 设备 , 提升 其 可 伸缩 性 。 
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